当社コーポレートサイトの2023年1月19日付け「当社サーバーに対する不正アクセス発生について」※にてリリースいたしました通り、当社のサーバー等に対する不正アクセスに関連して、一部のお客さまの個人情報が流出した可能性を否定できないことが判明いたしました。なお、現時点で、本件に関わる情報流出は確認されておりません。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。
現在判明している事実等につきまして、以下のとおりご報告いたします。
1.経緯
2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等(以下、本件サーバー等)に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。なお、WEBストア「ドットエスティ」のECサーバーについては、今回の不正アクセスの影響を受けていないことを確認しておりますが、物流システムを停止したことに伴い、ドットエスティを休止いたしました。
同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、同日午後には、警察へ相談しております。
現在も調査を継続しており、現時点で本件に関わる情報流出は確認されておりませんが、本件サーバー等に保存されている、お客さまの個人情報流出の可能性を完全に否定できないことが判明しました。なお、個人情報保護委員会への報告は既に実施いたしました。
2.1月24日時点で流出の可能性が判明した個人情報の内容
以下の対象となるお客さまの個人情報 1,044,175件(氏名・住所・電話番号・メールアドレス・会員識別番号)
① 2022年7月~2023年1月に、ドットエスティからの商品を受取り済み・受取り予定の一部のお客さま
② 2021年4月~2023年1月に、店舗受け取り・自宅配送サービスをお申込みの一部のお客さま
③ 2019年8月~2019年9月に、ドットエスティで購入された一部のお客さま
(①・②については、2023年1月18日以前のご注文・お申込みの方が対象です。)
※ クレジットカード情報などの決済情報は含まれておりません。
※ 会員識別番号は、社内で使用する管理番号です。ドットエスティへのログイン情報(お客さまご自身で設定された会員ID・パスワード)は、本件サーバー等に保有しておらず、流出可能性の対象となる情報に含まれておりません。
3.対象となる方への対応
当社では、順次、対象となる方への連絡を進めており、メールまたは郵送にてご案内を差し上げる予定です。
4.現在の状況とWEBストア「ドットエスティ」について
現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しております。休止しているWEBストア「ドットエスティ」につきまして、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております。
5.今後の対応と再発防止策
引き続き、外部の専門機関と連携し、原因や経路の究明を行うとともに、流出の可能性がある情報について調査を進め、対象となる方へのご連絡を差し上げてまいります。ドットエスティ再開にあたっての必要な対策は講じておりますが、さらに安心してご利用いただくためのセキュリティと監視体制の強化を実施し、再発防止に努めてまいります。
6.業績への影響
現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。
本件に関して、さらなる詳細な調査の結果、新たに報告すべき事項が判明した場合には、速やかにお知らせいたします。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、重ねて深くお詫び申し上げます。